應用

技術(shù)

物聯(lián)網(wǎng)世界 >> 物聯(lián)網(wǎng)新聞 >> 物聯(lián)網(wǎng)熱點新聞
企業(yè)注冊個人注冊登錄

智能卡聯(lián)盟稱電子護照復制沒有安全風險

2006-08-14 10:18 RFID世界網(wǎng)

導讀:雖然Grunwald聲稱證實了RFID電子護照中基本的安全缺陷,但是許多RFID技術(shù)專家并不承認其真實性。智能卡聯(lián)盟認為,電子護照芯片內(nèi)的編碼數(shù)據(jù)由簽發(fā)護照的國家進行了數(shù)據(jù)簽名和加密,即便有人復制了這些數(shù)據(jù)也無法將其改變。

在上周于拉斯維加斯舉行的黑帽計算機安全會議上,德國DN-Systems計算機安全公司的研究員Lukas Grunwald作了示范:使用RFDump的開源軟件包和RFID讀寫器,將他個人德國護照上的RFID標簽進行復制,然后將信息寫入附有RFID芯片的智能卡上。美國也即將加入使用嵌入式RFID標簽護照的行列,這個示范引起了緊張的氣氛。在最近的Google搜索統(tǒng)計中,有幾百個關(guān)于這個事件的報道。

其中一個新聞報道發(fā)表在《wired》雜志的網(wǎng)站上,這則新聞中說,為了讀取他護照中的電子標簽,Grunwald使用了各國邊境機構(gòu)采用的同一款讀寫器和由secunet安全網(wǎng)絡公司生產(chǎn)的電子護照軟件。他使用RFDump進行復制。



RFID電子護照復制沒有安全風險

然而,Grunwald僅僅復制了他護照內(nèi)IC卡上的數(shù)據(jù)。他并沒有偽造護照,也沒有利用這些數(shù)據(jù)。雖然Grunwald聲稱證實了RFID電子護照中基本的安全缺陷,但是許多RFID技術(shù)專家并不承認其真實性。

智能卡聯(lián)盟是一個非盈利性的組織,其成員包括銀行業(yè)、金融服務業(yè)、計算機業(yè)和零售行業(yè)的超過185家公司,其中還包括Gemalto公司。Gemalto公司將提供美國電子護照中的RFID嵌入技術(shù)。該聯(lián)盟于周二進行了電話會議,討論Grunwald的示范并就相關(guān)問題發(fā)表聲明。

為了保證協(xié)同性和基本級別的安全性,已經(jīng)或計劃簽發(fā)電子護照大約30個國家,都同意遵守由國際民用航空組織ICAO開發(fā)的協(xié)議規(guī)范,以創(chuàng)建必需的或可選的數(shù)據(jù)類型,并將其編碼嵌入每一個護照中。

ICAO的規(guī)范支持不同級別的保護,來降低電子護照中的數(shù)據(jù)在出入境讀取時遭到竊取的機率。只有在打開護照后,護照的網(wǎng)狀金屬內(nèi)層才放棄阻止護照內(nèi)嵌信息的讀取。為保護信息不被未授權(quán)方竊取,讀寫器的操作人員必須通過一個稱為基本訪問控制(注:Basic Access Control)的過程,即輸入已經(jīng)寫入護照上的密碼進行解鎖,才能讀取標簽。這個方法也用于對標簽上的數(shù)據(jù)進行加密。為訪問加密的標簽數(shù)據(jù),讀寫器也需要獲取正確的數(shù)據(jù)密鑰。據(jù)報道,Grunwald利用ICAO的網(wǎng)站上的規(guī)范得到了他所需要的信息來復制他的護照。

在電話會議中,智能卡聯(lián)盟的執(zhí)行官Randy Vanderhoof指出,電子護照芯片內(nèi)的編碼數(shù)據(jù)由簽發(fā)護照的國家進行了數(shù)據(jù)簽名和加密,即便有人復制了這些數(shù)據(jù)也無法將其改變。按照Vanderhoof的說法,Grunwald所做的并不說明電子護照不安全,原因在于護照檢查人員仍能檢測護照芯片內(nèi)被編碼的照片信息,并將它與護照持有人進行比較。他說,復制護照的內(nèi)嵌信息“在我們看來,和偷竊他人的護照把它作為自己的出入境證明一樣,沒有什么區(qū)別。”

“電子護照遠比現(xiàn)在的打印文檔安全的多?!盫anderhoof說,因為RFID通過可視化的檢查對護照持有者進行認證。在一期《Wired》雜志中,美國國務院國家護照服務副助理秘書長Frank Moss說,電子護照規(guī)范并不專為防止復制。他告訴《Wired》雜志,“Grunwald此人所做的既是預料到的,也不那么值得注意?!彼€補充說RFID嵌入技術(shù)作為對于護照持有者的額外的認證才是其意義所在。

如果一個國家決定在邊境入口完全移除人工檢查,而只依賴讀寫器讀取的數(shù)據(jù)怎么辦呢?在這方ICAO的規(guī)范已經(jīng)考慮到,據(jù)說別的國家也正在考慮這樣做。那么,除了Grunwald本人,別人拿著復制的Grunwald的電子護照就能進入一個國家,這就像偷走電子收費器(EZPass)不用交費駛過紐約收費站那么容易。

“顯然,在“電子護照”上加上反復制功能會更好,但是具有RFID的電子護照可能比沒有RFID電子護照更安全。在沒有RFID的護照內(nèi),照片能被移植到真正的護照或者是插入一個偽造的護照中?!盧SA實驗室的首席科學家、RSA安全的研究專家,Ari Juels這樣說到。

Juels說,Grunwald的結(jié)果“是一個有用的示范,但是并不能真正的讓人領(lǐng)悟到新東西??蓮椭频淖o照系統(tǒng)在安全性方面概略地等同于一個具有完整性保護的數(shù)據(jù)庫。任何人都可以宣稱是另外一個人,系統(tǒng)依靠物理的身份檢查獲得成功?!?/FONT>